Добрый день.
У меня выплыла проблема:
Сразу после установки CSP 3.6.1 на клиентскую машину (XP SP2) домена Win 2003 пропала возможность заходить в домен по сертификату MS CA хранящемуся на eToken (eToken base CSP).
Подскажите в чем может быть проблема? Куда копать?

3.6.6490 Release Candidate
Дистрибутивы обновлены.
ChangeLog:
- поддержка Windows7/2008 R2
- уменьшен размер дистрибутива
- доработки контрольной панели:
~ кнопка "протестировать" контейнер
~ кнопка "установить сертификат" в мастере просмотра сертификата в контейнер (корневой и промежуточный сертификаты из расширений контейнера также будут установлены, если присутствуют)
~ чекбокс установки сертификата в контейнер в мастере установки личного сертификата
~ автоматический поиск контейнера в мастере установки личного сертификата
- поддержка Office Communication Server 2007 (за подробностями настройки обращайтесь ко мне)
- поддержка новых смарт-карт
- TLS:
~ поддержка сохранения сертификатов для доступа к SSL - серверам в Диспетчере учетных записей
~ опциональное отключение проверки EKU сертификатов
~ возможность отключения на сервере "старых" chiper suites
~ работа сервера с пином на контейнере (для этого пин должен быть сохранен в контексте сертификата)
- поддержка Outlook 2010 (x86 и x64)
- поддержка legacy подписи (2003) в office 2007
- обеспечена совместимость со всеми ранее известными конфликтующими приложениями (comodo, sptd еtc)
- диагностика ошибок старта драйвера в eventlog
- опциональная установка сервиса в КС1
- отдельная консоль для управления лицензиями
- поддержка Windows Mail/Live Mail
- ослаблены многие RW блокировки до Read при работе с контекстом из нескольких нитей
- поддержка декодирования и отображения PrivateKeyUsagePeriod
- драйвер CCID включен в дистрибутив
- только ключи AT_KEYEXCHANGE/AT_SIGNATURE сохраняются в контейнере при генерации, остальные временные
- bug fixes

Скачал сборку 3.6.6497, получил проблему с генерацией ключа.

Запускаю CCERT PKI, сборка 4.0.216.19 на windows xp sp3 32 bit.
Справочник сертификатов запускается, выбираю "Создать запрос на сертификат". Появляется окно биологического датчика случайных чисел, но затем окна "Установите пароль на создаваемый контейнер" нет. Проверил - новый ключ на считывателе на самом деле не создается, а появляется ошибка:

Продукт: Клиент ВТБ. Версия 1.0.
Сборка: 4.0.216.19.
Дата: 03.09.2010 08:03:09 GMT.
Справочник сертификатов: Ошибка выполнения ЭЦП запроса. Запрос на сертификат. Владелец CN=kdrydn,OU=6300,OU=Branch,O=JSC Vneshtorgbank,ST=MSK,C=RU; № ключа подписи DHZBXI2KCS6OROKW; № ключа шифрования DHZBXI2KCS6OROKW;
Стек ошибок:
модуль CRYPTOPRO2:GETUSERKEY:ошибка getuserkey:Ключ не существует. (0x8009000d):w:\vd\pki\crypto\gcpec\loadcp2.c:598
модуль VCERT:VCERT_req_find_private_key:ошибка загрузки закрытого ключа:w:\vd\pki\crypto\vcert\v_keys.c:676

Ключ DHZBXI2KCS6OROKW - это новый генерировавшийся ключ, но я не нашел его на флэшке после генерации, т.е. конейнер физически не создался.

Посмотрев в отладчике, выяснил следующее. Валидата загружает функции CP* динамически, непосредственно из DLL провайдера. Сначала вызывается CPAcquireContext с параметром FLAG_NEW_KEYSET, ключ AT_KEYEXCHANGE генерируется вызовом CPGenKey с алгоритмом ALG_ID = CALG_DH_EL_SF, затем освобождается посредством CPReleaseContext. На этот момент ключа на флэшке нет! Затем идет вызов этого же ключа через CPAcquireContext, и уже он возвращает false. Дальше ошибка вываливается в графический интерфейс.

Может, новый ключ создается как временный? Потому что первый вызов CPAcquireContext возвращает True, но физически контейнер не появляется.

На windows vista 32 bit ситуация не воспроизводится, ключ генерируется успешно. На xp sp2 - ошибка появляется. На windows 7 не проверял.

Добрый день, подскажите, в чем заключается разница между версиями 3.6 R2 и 3.6.1 и есть ли она вообще?
Где можно посмотреть подробно?

А какие? Мне нужно побольше информации, есть спецификация по версиям?
Спасибо.